Δεν είναι η πρώτη φορά που μιλάμε iptables, αναφέραμε ήδη πώς να κάνουμε κανόνες Τα iptables εφαρμόζονται αυτόματα κατά την εκκίνηση του υπολογιστή, εξηγούμε επίσης τι βασικό / μέσο πέρα από τα iptables, και πολλά άλλα πράγματα 🙂
Το πρόβλημα ή η ενόχληση που βρίσκουν πάντα σε εμάς που μας αρέσουν τα iptables είναι ότι τα αρχεία καταγραφής iptables (δηλαδή οι πληροφορίες των απορριφθέντων πακέτων) εμφανίζονται σε αρχεία dmesg, kern.log ή syslog του / var / log /, ή Με άλλα λόγια, όχι μόνο οι πληροφορίες iptables εμφανίζονται σε αυτά τα αρχεία, αλλά και πολλές άλλες πληροφορίες, καθιστώντας λίγο κουραστικό να βλέπουμε μόνο τις πληροφορίες που σχετίζονται με το iptables.
Πριν από λίγο σας δείξαμε πώς λάβετε τα αρχεία καταγραφής από iptables σε άλλο αρχείο, ωστόσο ... πρέπει να ομολογήσω ότι προσωπικά βρίσκω αυτήν τη διαδικασία λίγο περίπλοκη ^ - ^
Στη συνέχεια, Πώς να αποκτήσετε τα αρχεία καταγραφής iptables σε ξεχωριστό αρχείο και να το κάνετε όσο το δυνατόν πιο απλό;
Η λύση είναι: Ουλόγκντ
Ουλόγκντ είναι ένα πακέτο που εγκαταστήσαμε (en Debian ή παράγωγα - »sudo apt-get install ulogd) και θα μας εξυπηρετήσει ακριβώς για αυτά που μόλις σας είπα.
Για να το εγκαταστήσετε ξέρετε, αναζητήστε το πακέτο Ουλόγκντ στα repos τους και να το εγκαταστήσετε, τότε θα τους προστεθεί ένας δαίμονας (/etc/init.d/ulogd) κατά την εκκίνηση του συστήματος, εάν χρησιμοποιείτε οποιαδήποτε διανομή KISS ArchLinux πρέπει να προσθέσετε Ουλόγκντ στην ενότητα των δαιμόνων που ξεκινούν με το σύστημα στο /etc/rc.conf
Μόλις το εγκαταστήσουν, πρέπει να προσθέσουν την ακόλουθη γραμμή στο σενάριο κανόνων iptables:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Στη συνέχεια, εκτελέστε ξανά το σενάριο κανόνων iptables και voila, όλα θα λειτουργήσουν 😉
Αναζητήστε τα αρχεία καταγραφής στο αρχείο: /var/log/ulog/syslogemu.log
Σε αυτό το αρχείο που αναφέρω είναι όπου από προεπιλογή το ulogd εντοπίζει τα απορριφθέντα αρχεία καταγραφής πακέτων, ωστόσο εάν θέλετε να βρίσκεται σε άλλο αρχείο και όχι σε αυτό μπορείτε να τροποποιήσετε τη γραμμή # 53 στο /etc/ulogd.conf, αλλάζουν απλώς τη διαδρομή του αρχείου που δείχνει αυτήν τη γραμμή και στη συνέχεια επανεκκίνηση του δαίμονα:
sudo /etc/init.d/ulogd restart
Εάν κοιτάξετε προσεκτικά αυτό το αρχείο, θα δείτε ότι υπάρχουν επιλογές αποθήκευσης ακόμη και των αρχείων καταγραφής σε μια βάση δεδομένων MySQL, SQLite ή Postgre, στην πραγματικότητα τα παραδείγματα αρχείων διαμόρφωσης είναι στο / usr / share / doc / ulogd /
Εντάξει, έχουμε ήδη τα αρχεία καταγραφής iptables σε άλλο αρχείο, τώρα πώς να τα δείξουμε;
Για αυτό είναι απλό πως θα αρκούσε:
cat /var/log/ulog/syslogemu.log
Θυμηθείτε, μόνο τα απορριφθέντα πακέτα θα καταγραφούν, εάν έχετε διακομιστή ιστού (θύρα 80) και έχετε ρυθμίσει τα iptables έτσι ώστε όλοι να έχουν πρόσβαση σε αυτήν την υπηρεσία ιστού, τα αρχεία καταγραφής που σχετίζονται με αυτό δεν θα αποθηκεύονται στα αρχεία καταγραφής, χωρίς ωστόσο, εάν έχουν μια υπηρεσία SSH και μέσω iptables διαμόρφωσαν την πρόσβαση στη θύρα 22 έτσι ώστε να επιτρέπει μόνο μια συγκεκριμένη IP, σε περίπτωση που κάποια άλλη IP εκτός από την επιλεγμένη προσπαθήσει να αποκτήσει πρόσβαση 22, τότε αυτό θα αποθηκευτεί στο αρχείο καταγραφής.
Σας δείχνω εδώ μια παραδειγματική γραμμή από το ημερολόγιό μου:
4 Μαρ 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Όπως μπορείτε να δείτε, την ημερομηνία και την ώρα της απόπειρας πρόσβασης, της διασύνδεσης (Wi-Fi στην περίπτωσή μου), της διεύθυνσης MAC, της πηγής IP της πρόσβασης καθώς και της IP προορισμού (ορυχείο) και διάφορα άλλα δεδομένα μεταξύ των οποίων υπάρχουν το πρωτόκολλο (TCP) και η θύρα προορισμού (22). Συνοψίζοντας, στις 10:29 στις 4 Μαρτίου, το IP 10.10.0.1 προσπάθησε να αποκτήσει πρόσβαση στη θύρα 22 (SSH) του φορητού υπολογιστή μου όταν (δηλαδή, ο φορητός μου υπολογιστής) είχε την IP 10.10.0.51, όλα αυτά μέσω Wifi (wlan0)
Όπως μπορείτε να δείτε ... πραγματικά χρήσιμες πληροφορίες 😉
Τέλος πάντων, δεν νομίζω ότι υπάρχουν πολλά περισσότερα να πω. Δεν είμαι μακράν ειδικός στο iptables ή το ulogd, ωστόσο αν κάποιος έχει πρόβλημα με αυτό, ενημερώστε με και θα προσπαθήσω να τους βοηθήσω
Χαιρετισμούς 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Θυμάμαι ότι με αυτό το άρθρο άρχισα να τα παρακολουθώ .. hehe ..
Ευχαριστώ, τιμή που με κάνεις 😀
είναι το ulogd μόνο για iptables ή είναι γενικό; επιτρέπει να ρυθμίσετε κανάλια; καταγραφή μέσω δικτύου;
Πιστέψτε ότι είναι μόνο για iptables, ωστόσο, ρίξτε ένα «man ulogd» για να απαλλαγείτε από αμφιβολίες.
Έχετε δίκιο: "ulogd - The Netfilter Userspace Logging Daemon"
+1, υπέροχη άρθρωση!
Ευχαριστώ, που προέρχονται από εσάς που δεν είναι ένας από αυτούς που κάνουν την πιο κολακευτική σημαίνει πολύ 🙂
Αυτό δεν σημαίνει ότι ξέρω περισσότερα από κανέναν, αλλά ότι είμαι γκρινιάρης xD
Ευχαριστώ και πάλι για την ανάρτηση, αναφερόμενος στο άλλο άρθρο σχετικά με την κρίση της ισπανικής μπλογκόσφαιρας linux, αυτή η ανάρτηση σας - μιλώντας για τεχνική ανάρτηση - είναι ακριβώς ο τύπος ανάρτησης που απαιτείται στην ισπανική / καστιλιάνικη γλώσσα.
Ποιοτικές τεχνικές αναρτήσεις όπως αυτή, από sysadmins, είναι πάντα ευπρόσδεκτες και πηγαίνουν κατευθείαν στα αγαπημένα 8)
Ναι, η αλήθεια είναι ότι τα τεχνικά άρθρα είναι αυτό που χρειάζεται ... Δεν κουράζομαι να το πω, στην πραγματικότητα το έχω ήδη μιλήσει εδώ - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Τέλος πάντων, ευχαριστώ και πάλι ... Θα προσπαθήσω να μείνω έτσι με τις τεχνικές δημοσιεύσεις 😀
αφορά